T∕TAF 077.16-2021 APP收集使用个人信息最小必要评估规范 交易记录.docx

ICS33.050M30

团体标准

T/TAF077.16-2021

APP收集使用个人信息最小必要评估规范

交易记录

Applicationsoftwareuserpersonalinformationcollectionandusage

minimizationandnecessityevaluationspecification—

Transactionrecords

2021-01-15发布2021-01-15实施

电信终端产业协会发布

I

T/TAF077.16-2021

目次

前言 II

引言 III

1范围 1

2规范性引用文件 1

3术语和定义 1

4缩略语 1

5基本原则 2

6交易记录涉及的个人信息类型 2

7交易记录涉及的个人信息常见收集使用场景 2

8个人信息处理活动中交易记录的最小必要规范 2

8.1收集 2

8.2存储 2

8.3使用 3

8.4共享给第三方 3

8.5删除 3

9评估流程和方法 3

附录A（资料性）个人信息处理类别及对应常见场景实例 4

T/TAF077.16-2021

II

前言

本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由电信终端产业协会提出并归口。

本文件起草单位：中国信息通信研究院、小米科技有限责任公司、OPPO广东移动通信有限公司、维沃移动通信有限公司、北京奇虎科技有限公司、华为技术有限公司、北京三快在线科技有限公司、阿里巴巴(中国)有限公司、北京字节跳动科技有限公司。

本文件主要起草人：任冠一、周圣炎、王艳红、杜云、宁华、武林娜、胡月、陈鑫爱、周飞、李京典、汤立波、常浩伦、李腾、毛欣怡、贾科、姚一楠、衣强、方强、贾雪飞、杨骁涵、王宇晓、安潇羽。

T/TAF077.16-2021

III

引言

本文件根据《中华人民共和国网络安全法》等相关法律要求，依据GB/T35273-2020《信息安全技术个人信息安全规范》的最小必要原则，提出移动应用软件在处理涉及个人信息的收集、存储、使用、加工、传输、提供、公开等活动中的最小必要信息规范和评估准则，旨在对移动互联网行业收集使用用户个人信息进行规范，落实最小、必要的原则，进一步促进移动互联网行业的健康稳定发展。

T/TAF077.16-2021

1

APP收集使用个人信息最小必要评估规范交易记录

1范围

本文件旨在贯彻个人信息收集使用的最小必要的原则，针对移动APP访问、收集、存储、处理、销毁用户个人信息等各环节提出相应的最小必要性符合度评估项，并结合典型场景，对APP最小必要处理交易记录的进行规定。

本文件适用于指导移动互联网应用软件开发者规范对用户交易记录的处理，也适用于主管监管部门、第三方评估机构等组织对移动互联网应用程序收集个人信息行为进行监督、管理和评估。

本文件适用范围仅适用于电商场景的交易记录（订单）中包含的个人信息，不包含现金流交易记录中包含的个人信息。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T25069-2010信息安全技术术语

GB/T35273-2020信息安全技术个人信息安全规范

T/TAF077.1-2020APP收集使用个人信息最小必要评估规范总则

3术语和定义

GB/T35273－2020和T/TAF077.1－2020界定的以及下列术语和定义适用于本文件。

3.1

移动智能终端smartmobileterminal

能够接入移动通信网，具有能够提供应用软件开发接口的操作系统，具有安装、加载和运行应用软件能力的终端。

3.2

移动应用软件mobileapplication

针对移动智能终端所开发的应用程序，包括移动智能终端预置应用软件以及互联网信息服务提供者提供的可以通过智能终端下载、安装、升级、卸载的应用软件。

4缩略语

T/TAF077.16-2021

2

下列缩略语适用于本文件。

APP应用软件Application

5基本原则

应满足